Hackeos en Wordpress

Siendo Wordpress una de las plataformas más populares para desarrollar sitios web, es también la más atacadas por los hackers buscando las vulnerabilidades del mismo Wordpress o de algunos de los plugins que tenemos instalados.

¿Cómo hackean un sitio en WordPress?

Algunos de los ciberataques más comunes que pueden aprovechar  las vulnerabilidades de seguridad de WordPress:

  • Puertas traseras: malware que pasa por alto los procedimientos de autenticación para acceder a los archivos principales de WordPress y los modifica.
  • Ataques de fuerza bruta: método de hackeo que utiliza la estrategia de prueba y error para adivinar las credenciales de acceso, en el caso de Wordpress, usuario y contraseña utilizado en el Admin.
  • Cross-Site Scripting (XSS): un ataque de inyección de código que ejecuta scripts maliciosos en el código de un sitio web.
  • Ataques de inyección SQL: un método de hacking que implica la inyección de código malicioso a la base de datos de la web.
  • Redirecciones maliciosas: una puerta trasera que redirige a los visitantes de un sitio web a otro sitio web sospechoso.
  • Denegación de servicio (DoS): un ataque múltiple diseñado para cerrar un sitio web o una red abrumando el sistema objetivo con peticiones.

Cómo evitar que nos hackeen un sitio en Wordpress

  • Al hacer la instalación inicial, elegir un usuario con nombre distinto a Admin, que es lo que pone por defecto Wordpress, eso facilita a los hackers averiguar la contraseña, porque ya tienen el dato del nombre de usuario.
  • Actualizar con frecuencia tanto la parte principal de Wordpress como los plugins instalados, los hackers aprovechan los huecos de seguridad que quedan en instalaciones viejas.
  • Instalar un plugin que escanee la seguridad del sitio, por ejemplo Wordfence. Este detecta si se están haciendo intentos de cambiar la contraseña del usuario o si hay ingresos desde Ips sospechosas. Además tiene una utilidad para escanear el sitio y detectar archivos de Wordpress modificados.
  • Hacer regularmente backups de todo nuestro sitio. Un plugin muy recomendado es Akeeba Backup, que es gratuito y tiene una versión para Wordpress. Hace un backup completo de toda la web, incluida la base de datos y lo comprime en un solo archivo que luego podremos descargar. Si el sitio es hackeado siempre podemos borrar la instalación y subir el backup que guardamos.